Android-Smartphones per Drive-by infiziert

Die ehemaligen McAfee-Manager George Kurtz und Dmitri Alperovitch haben im Rahmen der RSA Conference 2012 ein Remote Access Tool (RAT) demonstriert, das Android-Smartphones (Version 2.2.) infiziert. Zum Einschleusen der Malware missbrauchten sie einen bisher nicht gepatchten Bug im Android-eigenen Web-Browser WebKit. Die Information über die Schwachstelle haben die Forscher zuvor zusammen mit anderen Tools auf dem Schwarzmarkt gekauft. Auf insgesamt 20 Komponenten basiert der fertige Angriff, die sämtlich für 1400 US-Dollar im Untergrund eingekauft wurden.

Ausgangspunkt der Infektion ist eine vermeintlich vom Provider stammende SMS. In dieser findet sich die Bitte, ein wichtiges Update herunterzuladen, und ein Link zum angeblichen Download. Ein Klick auf den Link genügt, um das Smartphone zu infizieren – damit sind Drive-by-Infektionen auch in der Smartphone-Welt angekommen. Der Link lädt die Schadsoftware herunter und führt den Loader aus. Dieser lässt das Gerät abstürzen und installiert beim Neustart die eigentlichen Schadkomponenten.

Basis des demonstrierten Schädlings ist der schon länger bekannte Trojaner Nickspy, der ebenfalls eingekauft und anschließend von den Forschern modifiziert wurde. Außerdem bauten sie eine eigene Command & Control-Infrastruktur zum Steuern der Geräte auf. Den für die Anpassungen und Entwicklungen notwendigen Zeitaufwand schätzen die Experten mit einem Gegenwert von zirka 14.000 US-Dollar ein.

Einmal installiert, schneidet der Trojaner Telefonate mit, aktiviert die Kamera des Smartphones, liest die gewählten Nummern sowie die gespeicherten SMS aus und übermittelt die aktuelle Position an den C&C-Server. Die Position wird bequem in Google Maps angezeigt und per Klick auf das Symbol des infizierten Geräts können die erwähnten Daten ausgelesen und übertragen werden.

Kurtz wies daraufhin, dass sich über die verwendete WebKit-Schwachstelle prinzipiell auch andere Betriebssysteme infizieren lassen, auf denen der Browser läuft. Explizit auf iOS angesprochen, sagte Kurtz gegenüber heise security: "Genau wie unter Android müssten wir eine Code Execution mittels einer browserbasierten Attacke auslösen. Anschließend gilt es, Root-Rechte zu erlangen. So lässt sich zum Installieren der Anwendung der AppStore umgehen, wie wir es auch mit Android getan haben.“ Wie aufwändig ein solcher Angriff wäre, hat Kurtz jedoch nicht verraten.

Am Ende des Vortrags relativierten die Forscher die Gefahr ihrer Entdeckung: Zwar gebe es schon seit längerem – auch kommerzielle – Spionagetools und auch Drive-by-Infektionen werden Einzug halten im Smartphone-Umfeld. "Dies ist aber nicht das Ende der Welt. Denn solche Angriffe sind bislang ja sehr zielgerichtet“, sagte Kurtz.

Update: Der an dem Projekt beteiligte Sicherheitsexperte Georg Wicherski lieferte heise Security weitere Informationen, die ein klareres Bild zeichnen. So handelte es sich bei den Sicherheitslücken um Probleme, die zwar im Webkit selbst (Trunk) bereits behoben sind, deren Fixes Google jedoch noch nicht in die Android-Codebasis eingebaut hat. So gibt es natürlich auch noch keine gepatchten ROMs der Handy-Hersteller, alle aktuellen Android-Smartphones sind angreifbar. Derartige Bugs waren auf dem grauen Markt für circa 1000 Euro im Zehnerpack erhältlich.

Das eigentliche scharf machen der Demo-Exploits, also das Einbauen von Code, der das Nachladen und Installieren des Hintertürprogramms übernimmt (Weaponization), erledigte Wicherski selbst. Diese Arbeit schätzen die Experten auf einen Wert von etwa 15.000 US-Dollar. Der dabei auftretende Neustart sei im Übrigen kein Absturz sondern beabsichtigt, um die nachinstallierte Software zu aktivieren, erklärte Wicherski.

Der nachinstallierte Trojaner war ein klassisches Remote Adminstration Toolkit (RAT), das die Forscher aus dem App-Store gefischt und unverändert installiert haben. Selbst gebaut wurde in diesem Zusmamenhang nur die Client-Software zur Fernsteuerung des Smartphones. (dab)